ไวรัสมิชาสายพันธุ์ใหม่ Petya และ Misha: ผู้คิดชื่อไวรัสคอมพิวเตอร์ ตรวจสอบการมีอยู่ของส่วนประกอบที่เหลืออยู่ของแรนซั่มแวร์ Petya และ Mischa

เมื่อไม่กี่เดือนที่ผ่านมา เราและผู้เชี่ยวชาญด้านความปลอดภัยด้านไอทีคนอื่นๆ ค้นพบมัลแวร์ตัวใหม่ - Petya (Win32.Trojan-Ransom.Petya.A)- ในแง่คลาสสิก ไวรัสไม่ใช่ตัวเข้ารหัสเพียงอย่างเดียว บางประเภทไฟล์และเรียกร้องค่าไถ่ ไวรัสมีการปรับเปลี่ยน รายการบูตบนฮาร์ดไดรฟ์บังคับให้รีบูทพีซีและแสดงข้อความว่า "ข้อมูลถูกเข้ารหัส - เสียเงินเพื่อถอดรหัส" โดยทั่วไป รูปแบบมาตรฐานของไวรัสเข้ารหัส ยกเว้นว่าไฟล์นั้นไม่ได้เข้ารหัสจริงๆ โปรแกรมป้องกันไวรัสที่ได้รับความนิยมส่วนใหญ่เริ่มระบุและลบ Win32.Trojan-Ransom.Petya.A ไม่กี่สัปดาห์หลังจากการปรากฏตัว นอกจากนี้ยังมีคำแนะนำสำหรับการลบด้วยตนเองอีกด้วย เหตุใดเราจึงคิดว่า Petya ไม่ใช่แรนซัมแวร์แบบคลาสสิก ไวรัสนี้ทำการเปลี่ยนแปลง Master Boot Record และป้องกันไม่ให้ระบบปฏิบัติการโหลด และยังเข้ารหัส Master File Table มันไม่ได้เข้ารหัสไฟล์ด้วยตัวเอง

อย่างไรก็ตาม ไวรัสที่มีความซับซ้อนมากขึ้นปรากฏขึ้นเมื่อไม่กี่สัปดาห์ก่อน มิสชาเห็นได้ชัดว่าเขียนโดยนักต้มตุ๋นคนเดียวกัน ไฟล์เข้ารหัสไวรัสนี้และคุณต้องจ่ายเงิน 500 - 875 เหรียญสหรัฐสำหรับการถอดรหัส (ในรูปแบบ รุ่นที่แตกต่างกัน 1.5 – 1.8 บิตคอยน์) คำแนะนำสำหรับ “การถอดรหัส” และการชำระเงินจะถูกเก็บไว้ในไฟล์ YOUR_FILES_ARE_ENCRYPTED.HTML และ YOUR_FILES_ARE_ENCRYPTED.TXT

ไวรัส Mischa – เนื้อหาของไฟล์ YOUR_FILES_ARE_ENCRYPTED.HTML

ในตอนนี้ ที่จริงแล้ว แฮกเกอร์ทำให้คอมพิวเตอร์ของผู้ใช้ติดเชื้อด้วยมัลแวร์สองตัว ได้แก่ Petya และ Mischa คนแรกต้องการสิทธิ์ของผู้ดูแลระบบในระบบ นั่นคือหากผู้ใช้ปฏิเสธที่จะให้สิทธิ์ผู้ดูแลระบบ Petya หรือลบมัลแวร์นี้ด้วยตนเอง Mischa ก็เข้ามามีส่วนร่วม ไวรัสนี้ไม่ต้องการสิทธิ์ของผู้ดูแลระบบ มันเป็นตัวเข้ารหัสแบบคลาสสิกและเข้ารหัสไฟล์โดยใช้อัลกอริธึม AES ที่แข็งแกร่ง และไม่มีการเปลี่ยนแปลงใด ๆ กับ Master Boot Record และตารางไฟล์บนฮาร์ดไดรฟ์ของเหยื่อ

มัลแวร์ Mischa ไม่เพียงแต่เข้ารหัสไฟล์ประเภทมาตรฐานเท่านั้น (วิดีโอ รูปภาพ การนำเสนอ เอกสาร) แต่ยังรวมถึงไฟล์ .exe อีกด้วย ไวรัสไม่ส่งผลกระทบเฉพาะไดเร็กทอรี \Windows, \$Recycle.Bin, \Microsoft, \ มอซซิลา ไฟร์ฟอกซ์,\โอเปร่า\ อินเทอร์เน็ตเอ็กซ์พลอเรอร์, \Temp, \Local, \LocalLow และ \Chrome

การติดเชื้อส่วนใหญ่เกิดขึ้นผ่านทาง อีเมลโดยที่จดหมายมาพร้อมกับไฟล์แนบ - โปรแกรมติดตั้งไวรัส สามารถเข้ารหัสได้ภายใต้จดหมายจาก Tax Service จากบัญชีของคุณ เช่น ใบเสร็จรับเงินและใบเสร็จรับเงินสำหรับการซื้อที่แนบมา ฯลฯ ให้ความสนใจกับนามสกุลไฟล์ในตัวอักษรดังกล่าว - หากเป็นไฟล์ปฏิบัติการ (.exe) มีความเป็นไปได้สูงว่าอาจเป็นคอนเทนเนอร์ที่มีไวรัส Petya\Mischa และหากมีการแก้ไขมัลแวร์เมื่อเร็ว ๆ นี้ โปรแกรมป้องกันไวรัสของคุณอาจไม่ตอบสนอง

อัปเดต 30/06/2017: 27 มิถุนายน ไวรัส Petya เวอร์ชันแก้ไข (เพชรยา.เอ)โจมตีผู้ใช้จำนวนมากในยูเครน ผลกระทบของการโจมตีครั้งนี้มีมหาศาลและยังไม่มีการคำนวณความเสียหายทางเศรษฐกิจ ในวันเดียว งานของธนาคารหลายสิบแห่ง เครือข่ายค้าปลีก หน่วยงานภาครัฐและวิสาหกิจรูปแบบการเป็นเจ้าของที่แตกต่างกัน ไวรัสแพร่กระจายผ่านช่องโหว่เป็นหลัก ระบบยูเครนยื่นงบการเงิน MeDoc ล่าสุด อัปเดตอัตโนมัติของซอฟต์แวร์นี้ นอกจากนี้ ไวรัสยังส่งผลกระทบต่อประเทศต่างๆ เช่น รัสเซีย สเปน สหราชอาณาจักร ฝรั่งเศส และลิทัวเนีย

ลบไวรัส Petya และ Mischa โดยใช้ตัวทำความสะอาดอัตโนมัติ

พิเศษเฉพาะ วิธีการที่มีประสิทธิภาพการทำงานกับมัลแวร์โดยทั่วไปและโดยเฉพาะแรนซัมแวร์ การใช้คอมเพล็กซ์การป้องกันที่ได้รับการพิสูจน์แล้วรับประกันการตรวจจับส่วนประกอบของไวรัสอย่างละเอียด การกำจัดที่สมบูรณ์ได้ด้วยคลิกเดียว โปรดทราบว่าเรากำลังพูดถึงกระบวนการที่แตกต่างกันสองกระบวนการ: การถอนการติดตั้งการติดไวรัส และการกู้คืนไฟล์บนพีซีของคุณ อย่างไรก็ตาม ภัยคุกคามดังกล่าวจำเป็นต้องถูกกำจัดออกไปอย่างแน่นอน เนื่องจากมีข้อมูลเกี่ยวกับการนำโทรจันคอมพิวเตอร์เครื่องอื่นมาใช้

- หลังจากเริ่มซอฟต์แวร์ให้คลิกปุ่ม เริ่มการสแกนคอมพิวเตอร์(เริ่มการสแกน)
ซอฟต์แวร์ที่ติดตั้งจะจัดทำรายงานภัยคุกคามที่ตรวจพบระหว่างการสแกน หากต้องการลบภัยคุกคามที่ตรวจพบทั้งหมด ให้เลือกตัวเลือก แก้ไขภัยคุกคาม(ขจัดภัยคุกคาม) มัลแวร์ที่เป็นปัญหาจะถูกลบออกอย่างสมบูรณ์

คืนค่าการเข้าถึงไฟล์ที่เข้ารหัส

ตามที่ระบุไว้ Mischa ransomware จะล็อกไฟล์โดยใช้อัลกอริธึมการเข้ารหัสที่รัดกุม เพื่อไม่ให้ข้อมูลที่เข้ารหัสไม่สามารถกู้คืนได้ด้วยการปัดนิ้ว ไม้กายสิทธิ์– หากคุณไม่คำนึงถึงการจ่ายเงินค่าไถ่ที่ไม่เคยได้ยินมาก่อน (บางครั้งก็สูงถึง $1,000) แต่วิธีการบางอย่างสามารถช่วยชีวิตได้จริงๆ ซึ่งจะช่วยคุณกู้คืนข้อมูลสำคัญได้ ด้านล่างนี้คุณสามารถทำความคุ้นเคยกับพวกเขาได้

โปรแกรม การกู้คืนอัตโนมัติไฟล์ (ตัวถอดรหัส)

เป็นที่รู้กันว่ามีเหตุการณ์ที่ไม่ปกติมาก การติดเชื้อนี้จะหายไป ไฟล์ต้นฉบับในรูปแบบที่ไม่เข้ารหัส กระบวนการเข้ารหัสเพื่อวัตถุประสงค์ในการขู่กรรโชกจึงมุ่งเป้าไปที่สำเนาของพวกมัน ซึ่งทำให้ซอฟต์แวร์ต่างๆ เช่น การกู้คืนอ็อบเจ็กต์ที่ถูกลบเป็นไปได้ แม้ว่าจะรับประกันความน่าเชื่อถือของการลบออกก็ตาม ขอแนะนำอย่างยิ่งให้หันไปใช้ขั้นตอนการกู้คืนไฟล์

Shadow Copy ของเล่มต่างๆ

วิธีการจะขึ้นอยู่กับ ขั้นตอนของวินโดวส์ การสำรองข้อมูลซึ่งจะถูกทำซ้ำในแต่ละจุดกู้คืน สภาพการทำงานที่สำคัญ วิธีนี้: ต้องเปิดใช้งานฟังก์ชัน “System Restore” ก่อนที่จะติดไวรัส อย่างไรก็ตาม การเปลี่ยนแปลงใดๆ ในไฟล์ที่ทำหลังจากจุดคืนค่าจะไม่ปรากฏในเวอร์ชันที่กู้คืนของไฟล์

สำรองข้อมูล

นี่เป็นวิธีที่ดีที่สุดในบรรดาวิธีการที่ไม่ใช่ค่าไถ่ทั้งหมด หากใช้ขั้นตอนการสำรองข้อมูลไปยังเซิร์ฟเวอร์ภายนอกก่อนที่แรนซัมแวร์จะโจมตีคอมพิวเตอร์ของคุณ ในการกู้คืนไฟล์ที่เข้ารหัส คุณเพียงแค่ต้องเข้าสู่อินเทอร์เฟซที่เหมาะสม เลือกไฟล์ที่จำเป็นและเปิดกลไกการกู้คืนข้อมูลจากการสำรองข้อมูล ก่อนดำเนินการ คุณต้องตรวจสอบให้แน่ใจว่าได้ลบแรนซัมแวร์ออกอย่างสมบูรณ์แล้ว

ตรวจสอบการมีอยู่ของส่วนประกอบที่เหลืออยู่ของแรนซั่มแวร์ Petya และ Mischa

ทำความสะอาดใน โหมดแมนนวลเต็มไปด้วยการละเลยแรนซัมแวร์แต่ละชิ้นที่สามารถหลีกเลี่ยงการลบออกในฐานะวัตถุที่ซ่อนอยู่ ระบบปฏิบัติการหรือรายการรีจิสทรี เพื่อลดความเสี่ยงในการเก็บรักษาองค์ประกอบที่เป็นอันตรายบางส่วน ให้สแกนคอมพิวเตอร์ของคุณโดยใช้ซอฟต์แวร์รักษาความปลอดภัยที่เชื่อถือได้ แพคเกจซอฟต์แวร์เชี่ยวชาญเรื่องมัลแวร์

เจาะลึกประวัติความเป็นมาของการตั้งชื่อมัลแวร์

บุ๊กมาร์ก

โลโก้ไวรัส Petya.A

เมื่อวันที่ 27 มิถุนายน บริษัทรัสเซียและยูเครนอย่างน้อย 80 แห่งถูกโจมตีโดยไวรัส Petya.A โปรแกรมบล็อกข้อมูลบนคอมพิวเตอร์ของแผนกและองค์กร และเช่นเดียวกับไวรัสแรนซัมแวร์ที่เป็นที่รู้จัก เรียกร้อง Bitcoin จากผู้ใช้

โปรแกรมที่เป็นอันตรายมักจะตั้งชื่อโดยพนักงานของบริษัทพัฒนาแอนติไวรัส ข้อยกเว้นคือตัวเข้ารหัส, แรนซัมแวร์, ผู้ทำลายและขโมยข้อมูลระบุตัวตน ซึ่งนอกเหนือจากการติดไวรัสทางคอมพิวเตอร์แล้ว ยังทำให้เกิดการแพร่ระบาดของสื่อ - ทำให้สื่อมีการโฆษณาเกินจริงและมีการพูดคุยกันอย่างแข็งขันบนเครือข่าย

อย่างไรก็ตาม ไวรัส Petya.A เป็นตัวแทนของคนรุ่นใหม่ ชื่อที่เขาแนะนำตัวเองเป็นส่วนหนึ่งของกลยุทธ์การตลาดของนักพัฒนาที่มุ่งเพิ่มการรับรู้และความนิยมที่เพิ่มขึ้นในตลาด Darknet

ปรากฏการณ์วัฒนธรรมย่อย

ในสมัยนั้นมีคอมพิวเตอร์ไม่กี่เครื่องและไม่ได้เชื่อมต่อถึงกันทั้งหมด จึงมีโปรแกรมที่เผยแพร่ด้วยตนเอง (ที่ยังไม่มีไวรัส) อยู่แล้ว หนึ่งในสิ่งแรกคือ ซึ่งทักทายผู้ใช้อย่างติดตลกและเสนอให้จับเขาและลบเขาออก ถัดมาคือคุกกี้มอนสเตอร์ที่เรียกร้องให้ “มอบคุกกี้ให้เขา” โดยป้อนคำว่า “คุกกี้”

มัลแวร์ในยุคแรกๆ ยังมีอารมณ์ขัน แม้ว่าจะไม่ได้อยู่ในชื่อเสมอไปก็ตาม ดังนั้น Richard Scrant ซึ่งออกแบบมาสำหรับคอมพิวเตอร์ Apple-2 อ่านบทกวีให้เหยื่อทุกๆ 50 การเริ่มต้นคอมพิวเตอร์ และชื่อของไวรัสที่มักซ่อนอยู่ในโค้ดและไม่แสดง อ้างถึงเรื่องตลกและคำย่อยทางวัฒนธรรมทั่วไปในหมู่ geek ในเวลานั้น สิ่งเหล่านี้อาจเกี่ยวข้องกับชื่อวงดนตรีแนวเมทัล วรรณกรรมยอดนิยม และเกมเล่นตามบทบาทบนโต๊ะ

ในตอนท้ายของศตวรรษที่ 20 ผู้สร้างไวรัสไม่ได้ซ่อนอะไรมากนัก - ยิ่งไปกว่านั้นบ่อยครั้งที่โปรแกรมไม่สามารถควบคุมได้ พวกเขาพยายามมีส่วนร่วมในการกำจัดอันตรายที่เกิดขึ้น นี่เป็นกรณีของปากีสถานและเป็นพวกทำลายล้างซึ่งสร้างขึ้นโดยผู้ร่วมก่อตั้งในอนาคตของศูนย์บ่มเพาะธุรกิจ Y-Combinator

ไวรัสรัสเซียตัวหนึ่งที่ Evgeniy Kaspersky กล่าวถึงในหนังสือ “Computer Viruses in MS-DOS” ของเขาเมื่อปี 1992 ก็แสดงให้เห็นถึงความสามารถด้านบทกวีเช่นกัน โครงการ Condom-1581 แสดงให้เห็นเป็นระยะๆ ว่าเหยื่อมีโครงการที่อุทิศให้กับปัญหาการอุดตันมหาสมุทรของโลกด้วยของเสียจากมนุษย์

ภูมิศาสตร์และปฏิทิน

ในปี 1987 ไวรัสเยรูซาเลมหรือที่รู้จักในชื่อ Israeli Virus ได้รับการตั้งชื่อตามสถานที่ที่ถูกค้นพบครั้งแรก และ ชื่ออื่น Black Friday เกิดจากการที่มันจะเปิดใช้งานและลบไฟล์ปฏิบัติการหากวันที่ 13 ของเดือนตรงกับวันศุกร์

ไวรัส Michelangelo ซึ่งทำให้เกิดความตื่นตระหนกในสื่อในฤดูใบไม้ผลิปี 1992 ก็ได้รับการตั้งชื่อตามหลักการปฏิทินเช่นกัน จากนั้น John McAfee ซึ่งต่อมามีชื่อเสียงในด้านการสร้างหนึ่งในแอนตี้ไวรัสที่ล่วงล้ำมากที่สุดในระหว่างการประชุมความปลอดภัยทางไซเบอร์ที่ซิดนีย์ กล่าวกับนักข่าวและสาธารณชนว่า “ถ้าคุณบูตระบบที่ติดไวรัสในวันที่ 6 มีนาคม ข้อมูลทั้งหมดในฮาร์ดไดรฟ์จะเสียหาย” ไมเคิลแองเจโลเกี่ยวข้องกับเรื่องนี้อย่างไร? วันที่ 6 มีนาคมเป็นวันเกิดของศิลปินชาวอิตาลี อย่างไรก็ตาม ความน่าสะพรึงกลัวที่ McAfee คาดการณ์ไว้กลับกลายเป็นเรื่องเกินจริงไปมาก

ฟังก์ชั่นการทำงาน

ความสามารถของไวรัสและความจำเพาะของมันมักจะทำหน้าที่เป็นพื้นฐานของชื่อ ในปี 1990 หนึ่งในไวรัส polymorphic ตัวแรกมีชื่อว่า Chameleon และซึ่งมีความสามารถอย่างกว้างขวางในการซ่อนการมีอยู่ของมัน (และดังนั้นจึงอยู่ในประเภทของไวรัสล่องหน) ได้รับการตั้งชื่อว่าโฟรโดโดยบอกเป็นนัยถึงวีรบุรุษของ "ลอร์ดแห่ง แหวน” และแหวนที่ซ่อนตัวจากสายตาของผู้อื่น และตัวอย่างเช่น ไวรัส OneHalf ในปี 1994 ได้ชื่อมาจากการที่มันแสดงความก้าวร้าวโดยการติดเชื้อเพียงครึ่งหนึ่งของดิสก์ของอุปกรณ์ที่ถูกโจมตี

ชื่อบริการ

ไวรัสส่วนใหญ่ได้รับการตั้งชื่อในห้องปฏิบัติการมานานแล้ว ซึ่งนักวิเคราะห์จะวิเคราะห์ไวรัสเป็นส่วนๆ

โดยปกติแล้วชื่อเหล่านี้จะเป็นชื่อซีเรียลที่น่าเบื่อและชื่อ “ตระกูล” ทั่วไปที่อธิบายประเภทของไวรัส ระบบที่ไวรัสโจมตี และสิ่งที่ไวรัสทำกับไวรัส (เช่น Win32.HLLP.DeTroie) อย่างไรก็ตาม บางครั้งเมื่อมีการเปิดเผยคำแนะนำที่นักพัฒนาทิ้งไว้ในโค้ดโปรแกรม ไวรัสก็จะมีลักษณะพิเศษเล็กน้อย นี่คือวิธีที่ไวรัส MyDoom และ KooKoo ปรากฏขึ้น

อย่างไรก็ตามกฎนี้ใช้ไม่ได้ผลเสมอไป - ตัวอย่างเช่นไวรัส Stuxnet ซึ่งหยุดเครื่องหมุนเหวี่ยงเสริมสมรรถนะยูเรเนียมในอิหร่านไม่ได้เรียกว่า Myrtus แม้ว่าคำนี้ ("ไมร์เทิล") ในรหัสเกือบจะเป็นคำใบ้โดยตรงถึงการมีส่วนร่วมของอิสราเอล บริการข่าวกรองในการพัฒนา ในกรณีนี้ ชื่อที่เป็นที่รู้จักของสาธารณชนทั่วไปแล้ว ซึ่งถูกกำหนดให้กับไวรัสในระยะแรกของการค้นพบ ได้รับรางวัลไปแล้ว

งาน

บ่อยครั้งเกิดขึ้นที่ไวรัสที่ต้องได้รับความเอาใจใส่และความพยายามอย่างมากในการศึกษานั้นได้มาจากบริษัทป้องกันไวรัส ชื่อที่สวยงามซึ่งง่ายต่อการพูดและเขียน - สิ่งนี้เกิดขึ้นกับ Red October จดหมายโต้ตอบทางการทูตและข้อมูลที่อาจส่งผลกระทบต่อความสัมพันธ์ระหว่างประเทศ เช่นเดียวกับ IceFog การจารกรรมทางอุตสาหกรรมขนาดใหญ่

นามสกุลไฟล์

อีกวิธีหนึ่งที่ได้รับความนิยมในการตั้งชื่อคือส่วนขยายที่ไวรัสกำหนดให้กับไฟล์ที่ติดไวรัส ดังนั้น หนึ่งในไวรัส "ทางการทหาร" อย่าง Duqu จึงถูกตั้งชื่อไม่ใช่เพราะ Count Dooku จาก Star Wars แต่เป็นเพราะคำนำหน้า ~DQ ซึ่งทำเครื่องหมายไฟล์ที่มันสร้างขึ้น

นี่คือวิธีที่คนโลดโผนได้รับชื่อในฤดูใบไม้ผลินี้ ไวรัสวอนนาครายซึ่งทำเครื่องหมายข้อมูลที่เข้ารหัสด้วยนามสกุล .wncry

ชื่อเดิม อยากเป็นไวรัส. Decrypt0r ไม่เข้าใจ - ฟังดูแย่กว่าและมีการสะกดต่างกัน ไม่ใช่ทุกคนที่จะใส่ "0" เป็น "o"

“คุณตกเป็นเหยื่อของไวรัส Petya ransomware”

นี่คือสิ่งที่ถูกกล่าวถึงมากที่สุดในวันนี้ มัลแวร์เสร็จสิ้นการเข้ารหัสไฟล์บนคอมพิวเตอร์ที่ถูกโจมตี ไวรัส Petya A. ไม่เพียงแต่มีชื่อที่เป็นที่รู้จักเท่านั้น แต่ยังมีโลโก้ในรูปแบบของกะโหลกและกระดูกไขว้ของโจรสลัดและการส่งเสริมการตลาดทั้งหมด เมื่อพบไวรัสร่วมกับน้องชาย “มิชา” ไวรัสจึงดึงดูดความสนใจของนักวิเคราะห์ด้วยเหตุนี้

จากปรากฏการณ์วัฒนธรรมย่อย เมื่อต้องผ่านช่วงเวลาที่ "การแฮ็ก" ประเภทนี้ต้องใช้ความรู้ทางเทคนิคที่ค่อนข้างจริงจัง ไวรัสจึงกลายเป็นอาวุธของการโจมตีทางไซเบอร์ ตอนนี้พวกเขาต้องเล่นตามกฎของตลาด - และใครก็ตามที่ได้รับความสนใจมากกว่าจะนำผลกำไรมหาศาลมาสู่นักพัฒนาของพวกเขา

เจาะลึกประวัติความเป็นมาของการตั้งชื่อมัลแวร์

บุ๊กมาร์ก

โลโก้ไวรัส Petya.A

ปรากฏการณ์วัฒนธรรมย่อย

ภูมิศาสตร์และปฏิทิน

ในปี 1987 ไวรัสเยรูซาเลมหรือที่รู้จักกันในชื่อ Israeli Virus ได้รับการตั้งชื่อตามสถานที่ที่ถูกค้นพบครั้งแรก และอีกชื่อหนึ่งคือ Black Friday เนื่องจากมีการเปิดใช้งานและลบไฟล์ปฏิบัติการหากวันที่ 13 ของเดือนตรงกับวันที่ 13 ของเดือน ในวันศุกร์

ฟังก์ชั่นการทำงาน

ชื่อบริการ

งาน

มักเกิดขึ้นที่ไวรัสที่ต้องการความสนใจและความพยายามอย่างมากในการศึกษาได้รับชื่อที่สวยงามจากบริษัทป้องกันไวรัสที่พูดและเขียนได้ง่ายกว่า - สิ่งนี้เกิดขึ้นกับ Red October จดหมายโต้ตอบทางการทูตและข้อมูลที่อาจส่งผลกระทบต่อความสัมพันธ์ระหว่างประเทศตลอดจนด้วย IceFog การจารกรรมทางอุตสาหกรรมขนาดใหญ่

นามสกุลไฟล์

ไวรัส WannaCry ซึ่งสร้างความฮือฮาในฤดูใบไม้ผลินี้ ก็มีชื่อเช่นกัน โดยทำเครื่องหมายข้อมูลที่เข้ารหัสด้วยนามสกุล .wncry

ชื่อไวรัสก่อนหน้านี้คือ Wanna Decrypt0r ไม่เข้าใจ - ฟังดูแย่กว่านั้นและมีการสะกดต่างกัน ไม่ใช่ทุกคนที่จะใส่ "0" เป็น "o"

“คุณตกเป็นเหยื่อของไวรัส Petya ransomware”

นี่คือวิธีที่มัลแวร์ที่ถูกพูดถึงมากที่สุดในปัจจุบันแนะนำตัวเองหลังจากที่เข้ารหัสไฟล์บนคอมพิวเตอร์ที่ถูกโจมตีเสร็จสิ้น ไวรัส Petya A. ไม่เพียงแต่มีชื่อที่เป็นที่รู้จักเท่านั้น แต่ยังมีโลโก้ในรูปแบบของกะโหลกและกระดูกไขว้ของโจรสลัดและการส่งเสริมการตลาดทั้งหมด เมื่อพบไวรัสร่วมกับน้องชาย “มิชา” ไวรัสจึงดึงดูดความสนใจของนักวิเคราะห์ด้วยเหตุนี้

เมื่อวันอังคารที่ 27 มิถุนายน บริษัทในยูเครนและรัสเซียรายงานการโจมตีของไวรัสครั้งใหญ่ คอมพิวเตอร์ในองค์กรแสดงข้อความเรียกค่าไถ่ ฉันรู้แล้วว่าใครต้องทนทุกข์ทรมานจากแฮกเกอร์อีกครั้งและจะป้องกันตัวเองจากการโจรกรรมข้อมูลสำคัญได้อย่างไร

เพียญ่า ก็พอแล้ว

ภาคพลังงานเป็นกลุ่มแรกที่ถูกโจมตี: บริษัทยูเครน Ukrenergo และ Kyivenergo ร้องเรียนเกี่ยวกับไวรัส ผู้โจมตีทำให้พวกเขาเป็นอัมพาต ระบบคอมพิวเตอร์แต่ไม่กระทบต่อความมั่นคงของโรงไฟฟ้า

ชาวยูเครนเริ่มเผยแพร่ผลที่ตามมาจากการติดเชื้อทางออนไลน์: เมื่อพิจารณาจากรูปภาพจำนวนมาก คอมพิวเตอร์ถูกโจมตีโดยไวรัสแรนซัมแวร์ ข้อความปรากฏขึ้นบนหน้าจอของอุปกรณ์ที่ได้รับผลกระทบ โดยระบุว่าข้อมูลทั้งหมดได้รับการเข้ารหัส และเจ้าของอุปกรณ์จำเป็นต้องจ่ายค่าไถ่ 300 ดอลลาร์เป็น Bitcoin อย่างไรก็ตาม แฮกเกอร์ไม่ได้บอกว่าจะเกิดอะไรขึ้นกับข้อมูลในกรณีที่ไม่มีการดำเนินการ และไม่ได้ตั้งเวลานับถอยหลังจนกว่าข้อมูลจะถูกทำลาย เช่นเดียวกับกรณีการโจมตีของไวรัส WannaCry

ธนาคารแห่งชาติยูเครน (NBU) รายงานว่าการทำงานของธนาคารหลายแห่งเป็นอัมพาตบางส่วนเนื่องจากไวรัส ตามรายงานของสื่อยูเครน การโจมตีดังกล่าวส่งผลกระทบต่อสำนักงานของ Oschadbank, Ukrsotsbank, Ukrgasbank และ PrivatBank

ติดเชื้อ เครือข่ายคอมพิวเตอร์"Ukrtelecom", "สนามบิน Borispol", "Ukrposhta", "Nova Poshta", "Kievvodokanal" และรถไฟใต้ดิน Kyiv นอกจากนี้ ไวรัสยังส่งผลกระทบต่อผู้ให้บริการมือถือชาวยูเครน ได้แก่ Kyivstar, Vodafone และ Lifecell

ต่อมาสื่อของยูเครนชี้แจงว่าเรากำลังพูดถึงมัลแวร์ Petya.A มีการเผยแพร่ตามรูปแบบปกติสำหรับแฮกเกอร์: เหยื่อจะได้รับอีเมลฟิชชิ่งจากหุ่นจำลองเพื่อขอให้พวกเขาเปิดลิงก์ที่แนบมา หลังจากนั้นไวรัสจะแทรกซึมเข้าไปในคอมพิวเตอร์ เข้ารหัสไฟล์ และเรียกร้องค่าไถ่สำหรับการถอดรหัส

แฮกเกอร์ระบุหมายเลขกระเป๋าเงิน Bitcoin ที่ควรโอนเงินไป เมื่อพิจารณาจากข้อมูลการทำธุรกรรม เหยื่อได้โอนไปแล้ว 1.2 bitcoins (มากกว่า 168,000 รูเบิล)

ตามที่ผู้เชี่ยวชาญเรื่อง ความปลอดภัยของข้อมูลจากบริษัท Group-IB บริษัทมากกว่า 80 แห่งได้รับผลกระทบจากการโจมตี หัวหน้าห้องปฏิบัติการอาชญากรรมตั้งข้อสังเกตว่าไวรัสไม่เกี่ยวข้องกับ WannaCry เพื่อแก้ไขปัญหา เขาแนะนำให้ปิดพอร์ต TCP 1024–1035, 135 และ 445

ใครจะตำหนิ

เธอรีบสรุปว่าการโจมตีดังกล่าวเกิดขึ้นจากดินแดนของรัสเซียหรือดอนบาสส์ แต่ไม่ได้ให้หลักฐานใดๆ รัฐมนตรีว่าการกระทรวงโครงสร้างพื้นฐานของประเทศยูเครน เลื่อยเบาะแสในคำว่า "ไวรัส" และเขียนบน Facebook ของเขาว่า "ไม่ใช่เรื่องบังเอิญที่มันจะลงท้ายด้วย RUS" เพิ่มอิโมติคอนขยิบตาในการเดาของเขา

ในขณะเดียวกันเขาอ้างว่าการโจมตีไม่เกี่ยวข้องกับ "มัลแวร์" ที่มีอยู่ซึ่งเรียกว่า Petya และ Mischa เจ้าหน้าที่รักษาความปลอดภัยบอกอย่างนั้น คลื่นลูกใหม่ไม่เพียงส่งผลกระทบต่อบริษัทในยูเครนและรัสเซียเท่านั้น แต่ยังรวมถึงองค์กรในประเทศอื่นๆ ด้วย

อย่างไรก็ตาม “มัลแวร์” ในปัจจุบันมีลักษณะคล้ายกับไวรัส Petya ที่รู้จักกันดีในอินเทอร์เฟซ ซึ่งแพร่กระจายผ่านลิงก์ฟิชชิ่งเมื่อไม่กี่ปีก่อน เมื่อปลายเดือนธันวาคม แฮกเกอร์ที่ไม่รู้จักซึ่งรับผิดชอบในการสร้างแรนซัมแวร์ Petya และ Mischa เริ่มส่งอีเมลที่ติดไวรัสพร้อมกับไวรัสที่แนบมาชื่อว่า GoldenEye ซึ่งเหมือนกับ รุ่นก่อนหน้าผู้เข้ารหัส

เอกสารแนบไปกับจดหมายปกติซึ่งพนักงานแผนกทรัพยากรบุคคลมักได้รับมีข้อมูลเกี่ยวกับผู้สมัครปลอม ในไฟล์หนึ่งสามารถค้นหาเรซูเม่ได้จริงและในไฟล์ถัดไปคือตัวติดตั้งไวรัส จากนั้นเป้าหมายหลักของผู้โจมตีคือบริษัทในเยอรมนี ตลอดระยะเวลา 24 ชั่วโมง พนักงานของบริษัทเยอรมันมากกว่า 160 คนตกหลุมพราง

ไม่สามารถระบุแฮ็กเกอร์ได้ แต่ชัดเจนว่าเขาเป็นแฟนบอนด์ โปรแกรม Petya และ Mischa - ชื่อ ดาวเทียมของรัสเซีย“ Petya” และ “Misha” จากภาพยนตร์เรื่อง “Golden Eye” ซึ่งในโครงเรื่องเป็นอาวุธแม่เหล็กไฟฟ้า

Petya เวอร์ชันดั้งเดิมเริ่มจำหน่ายในเดือนเมษายน 2559 เธอปลอมตัวเป็นคอมพิวเตอร์อย่างชำนาญและแสร้งทำเป็น โปรแกรมทางกฎหมายพร้อมท์ให้ขยายสิทธิ์ของผู้ดูแลระบบ หลังจากเปิดใช้งาน โปรแกรมมีพฤติกรรมก้าวร้าวอย่างยิ่ง โดยกำหนดเส้นตายที่เข้มงวดในการจ่ายค่าไถ่ โดยเรียกร้อง 1.3 bitcoins และหลังจากกำหนดเวลา มันเพิ่มค่าชดเชยเป็นสองเท่า

จริงอยู่ที่ผู้ใช้ Twitter รายหนึ่งพบอย่างรวดเร็ว จุดอ่อนแรนซัมแวร์และสร้างขึ้นมา โปรแกรมง่ายๆซึ่งภายในเจ็ดวินาทีจะสร้างคีย์ที่อนุญาตให้คุณปลดล็อคคอมพิวเตอร์และถอดรหัสข้อมูลทั้งหมดโดยไม่มีผลกระทบใด ๆ

ไม่ใช่ครั้งแรก

ในช่วงกลางเดือนพฤษภาคม คอมพิวเตอร์ทั่วโลกถูกโจมตีโดยไวรัสเรียกค่าไถ่ที่คล้ายกัน WannaCrypt0r 2.0 หรือที่รู้จักกันในชื่อ WannaCry ในเวลาเพียงไม่กี่ชั่วโมง เขาก็ทำให้งานของคนงานหลายแสนคนเป็นอัมพาต อุปกรณ์วินโดวส์ในกว่า 70 ประเทศ ในบรรดาผู้ที่ตกเป็นเหยื่อ ได้แก่ กองกำลังความมั่นคงของรัสเซีย ธนาคาร และ ผู้ให้บริการโทรศัพท์มือถือ- เมื่ออยู่ในคอมพิวเตอร์ของเหยื่อ ไวรัสจะถูกเข้ารหัส ฮาร์ดไดรฟ์และเรียกร้องให้ส่ง bitcoins มูลค่า 300 ดอลลาร์ให้กับผู้โจมตี มีการจัดสรรเวลาสามวันเพื่อการไตร่ตรอง หลังจากนั้นจำนวนก็เพิ่มขึ้นเป็นสองเท่า และหลังจากนั้นหนึ่งสัปดาห์ ไฟล์ก็จะถูกเข้ารหัสตลอดไป

อย่างไรก็ตามเหยื่อไม่รีบร้อนที่จะจ่ายค่าไถ่และผู้สร้างมัลแวร์